I - A entidade bancária prestadora de serviços de pagamento, no caso de realização de operações de pagamento não autorizadas sobre a conta do cliente através da utilização de serviço de homebanking, com recurso a fraude informática, apenas vê afastada a sua responsabilidade pelos danos sofridos pelo utilizador de serviços de pagamento se alegar e provar que o dano em causa se deveu a atuação dolosa ou negligência grosseira do utilizador do serviço – art. 113.º, nº 3 do Dec. Lei nº 91/2018, de 12-11.
II - Se o teor expresso da mensagem recebida pelo utilizador do serviço de “homebanking” for suscetível de suscitar forte alarme a um utilizador medianamente diligente que a tivesse lido, a subsequente inserção do código plasmado na “SMS” recebida, só pode considerar-se ter ficado a dever-se a um descuido grave do utilizador, que não tomou, de forma grosseiramente negligente, todas as medidas razoáveis para preservar a segurança das suas credenciais de segurança personalizadas.

Apelação 2757/21.6T8PRT.P1

Acordam na 3.ª Secção do Tribunal da Relação do Porto:

I - RELATÓRIO
“A... – Sociedade de Advogados, RL” propôs ação de condenação sob a forma comum contra “Banco 1..., SA”, pedindo que este fosse condenado a pagar-lhe a quantia de 26.363,00 €, a título de danos patrimoniais, acrescida de juros vencidos e vincendos, bem como a quantia de 5.000 € a título de danos não patrimoniais.
Alegou, para o efeito, que procedeu à abertura de uma conta bancária numa das agências do Réu, que no âmbito dessa relação contratual, foi-lhe concedida a possibilidade de movimentar a aludida conta através da “internet”, por utilização do sistema “homebanking” e que quando um dos seus administradores acedeu à página do Banco R. para efetuar operações bancárias na sua (da A.) conta bancária, depois de aquele administrador inserir o respetivo código de utilizador, a “password” e os algarismos do seu “NIF”, e acionado o certificado digital exigido para aquele acesso, abriu-se uma “janela” e iniciou-se a execução de um programa com os dizeres “Actualização do módulo de segurança”.
De seguida, abriu-se uma outra janela dando nota que seria enviado por “SMS” um código para confirmar a continuação daquele processo; que ato contínuo, o administrador da A. recebeu no seu telemóvel um código, provindo do contacto utilizado pela R., para esse efeito, tendo aquele inserido no computador tal código, momento em que o computador bloqueou; tendo o referido administrador desligado e voltado a ligar o computador, apercebeu-se que, sem que o tivesse determinado, haviam sido efetuadas transferências da conta da A. para uma outra conta desconhecida, no apontado valor de 26.363 €.
Referiu que tal só sucedeu porque alguém acedeu ao sistema informático da R., não tendo esta assegurado a sua operacionalidade e regularidade.
Pretende, assim, que a R. seja condenada a pagar-lhe os referidos 26.363 €
Mais deu conta que na sequência da comunicação do ocorrido à R., esta procedeu ao bloqueio não só do acesso informático à conta em causa, mas também dos cartões bancários de todas as contas da A., ficando esta impossibilitada de efetuar e receber transferências a partir das mesmas, o que lhe terá causado transtornos, pelo que pede ainda a condenação da R. a pagar-lhe 5.000 € a título de compensação.

A Ré contestou, invocando, em síntese, que foi instalado no computador da Autora um “software malicioso” (“malware”), que permitiu a terceiros não identificados tomarem conhecimento dos códigos e das “passwords” da A. de acesso ao sistema “homebanking”.
Que na posse desses dados, foi solicitado pelos terceiros à R., fazendo-se passar pela A., a criação de um beneficiário de transferências, tendo o código enviado ao administrador da A. por “SMS” se destinado – tal como dela expressamente consta - a autorizar e validar tal operação.
Que foi nessa sequência, na posse de todos esses dados, que o terceiro em causa procedeu às aludidas transferências.
Rejeitou, por isso, que aquelas transferências tenham ocorrido por intrusão ou inoperacionalidade no seu sistema informático, defendendo que a ocorrência dos danos em causa foi causada por uma conduta grosseiramente negligente do legal representante da A., motivo pelo qual defende que não poderá ser responsabilizada pela sua ocorrência, rejeitando também ter bloqueado os cartões bancários da A., impugnando, em consequência, os danos invocados e pugnando pela improcedência da ação.

Foi proferido despacho saneador e fixado o objeto do litígio e temas de prova.

Procedeu-se a julgamento com observância do legal formalismo, tendo sido proferida sentença que julgou a ação totalmente improcedente, absolvendo o Réu dos pedidos.

Não se conformando com o assim decidido, veio a Autora interpor o presente recurso, que foi admitido como apelação, com subida imediata nos próprios autos e com efeito meramente devolutivo.

Formulou, a Autora, as seguintes conclusões:
“a) As declarações do legal representante da Autora e o depoimento da testemunha AA prestados na audiência de julgamento de 14-11-2023, conforme supra invocado e transcrito, devem ter-se como suficientes para dar como provado que “a Autora tinha instalado no computador do respetivo administrador um programa antivírus da marca “...” o qual se encontrava atualizado”, revertendo a resposta negativa dada no ponto 3 dos FNP;
b) A matéria dada como provada, reforçada com a alteração sustentada na anterior alínea, não permite que se considere que durante o procedimento que deu lugar à transferência para uma terceira conta das quantias identificadas nos autos, proveio de um “malware” instalado no computador da Autora e que o respetivo administrador por negligência grosseira ou grave foi quem provocou aquele resultado;
c) Qualquer pessoa – a não ser, talvez, um técnico ou especialista informático – atuaria de modo idêntico ao do legal representante da Autora durante o procedimento em causa;
d) Por força das disposições combinadas dos artºs 110º e 113º do Decreto-Lei 91/2018 de 12/11 e dos artºs 796º, 1142º, 1144º, 1185º, 1187º e 1206º do Código Civil, cabe ao Banco Réu ressarcir a Autora pela perda das quantias transferidas da sua conta para conta de terceiros não identificados, imputando-se à decisão recorrida a violação, por erro de interpretação e aplicação, daquelas disposições legais a interpretar e a aplicar nos termos propugnados nestas alegações e conclusões;
e) Daí que, revogando-se a sentença recorrida, deva ser julgada procedente a presente ação, no que toca ao pedido formulado na alínea a) do artº 32º da petição inicial, com as demais consequências de lei.”.O Réu apresentou contra-alegações, pugnando pela improcedência do recurso da Autora, e formulou ampliação do âmbito do recurso, concluindo nos seguintes termos:
“1.ª - Com o presente recurso pretende a Apelante (presume-se das alegações) que a douta sentença recorrida seja revogada na parte em que julgou improcedente o primeiro pedido formulado pela Autora, o qual respeita às transferências que foram efectuadas da sua conta bancária para a conta de um terceiro, desconhecido daquela.
2.ª- No entanto, dos factos provados (todos eles alegados ou aceites pela Apelante), resultou que as operações de transferência ocorreram devido à negligência grosseira da Autora, na pessoa do seu administrador que, tendo primeiramente adoptado uma conduta de alheamento aos avisos repetidamente feitos pelo Réu e pela generalidade dos media, permitiu que o seu computador, onde fora instalado o certificado digital que o Banco fornece aos seus clientes do serviço de homebanking fosse infectado por um malware — com o que um terceiro (“invasor” ou “atacante”) pôde passar a vigiar, a recolher dados e a controlar esse computador.
3.ª- E veio depois, no dia 19.08.2020, (i) a deixar-se enganar por esse terceiro, aceitando placidamente o controlo que o mesmo fez do computador da Autora, onde fora feito o login com todas as imposições exigidas pelo Banco; e (ii) a autorizar, de forma directa e positiva, através da inserção de um “código de autorização” que o Apelado lhe remeteu por SMS, a criação de um beneficiário de transferências “confiável”, cujos dados, incluído o IBAN, foram definidos pelo terceiro invasor, através do computador da Autora, o que lhe veio a permitir realizar, em acesso remoto, as ditas transferências, colocando para esse efeito a password da Autora — que havia já “visto” e recolhido após o login daquele administrador à página das suas contas no Banco — ou seja, sem necessitar de mais nenhuma “ajuda” do Utilizador.
4.ª- A impugnação da decisão de facto levada a cabo pela Apelante é desprovida de fundamento e é ainda inoperante, uma vez que o facto que a mesma pretende que seja aditado à matéria assente não tem qualquer relevo para a decisão da causa.
5.ª- A invocação, feita pela Apelante, em sede de direito, de que a “conclusão [do Meritíssimo Juiz a quo] de que a inserção do código surgido no “SMS” revelou grave negligência por parte do administrador da Autora”, “é contraditória com a sua própria fundamentação”, não tem razão de ser.
6.ª- E os argumentos apresentados nas alegações, na tentativa de afastar a qualificação, como grosseiramente negligente, da conduta do Utilizador, ao inserir o código de autorização que lhe foi enviado, via SMS, pelo Banco, sequencialmente a outras mensagens ali recebidas que se destinavam sempre a confirmar operações efectuadas pelo Utilizador (e não, por exemplo, qualquer actualização de segurança) são insubsistentes.
7.ª- Se o Banco estava a solicitar a confirmação de uma operação que o administrador não tinha efectuado, este teria, como é manifesto, de redobrar a sua atenção e a sua cautela.
8.ª- No entanto, esse mesmo administrador, referiu, nas declarações que prestou em audiência, que não deu “muita importância à mensagem”. cujo teor, no sentido de que se destinava a autorizar a criação de um beneficiário de transferências confiável, com um NIB desconhecido da Autora, era absolutamente claro.
9.ª- O administrador da Apelante não poderia ter inserido o dito código, julgando estar a “confirmar a continuação” de um processo de actualização de software, não só porque não era esse o teor da mensagem mas também porque tinha de saber (até pela “bastante experência” em software que afirmou ter) que o Banco não fornece nem actualiza softwares nos computadores dos clientes, além de que nada poderia fazer supor que, no computador da Autora, estivesse instalado um programa de segurança ....
10.ª- Foi a própria Autora quem alegou na Resposta que os programas alegadamente instalados nos computadores do seu escritório, “há quase duas dezenas de anos ou até mais”, eram da marca ..., e não da marca ....
11.ª- A afirmação feita nas alegações de que “Qualquer pessoa – a não ser, talvez, um técnico ou especialista informático – atuaria de modo idêntico ao do legal representante da Autora”, não é sequer séria, tendo em conta sobretudo o teor explícito da mensagem, igual a tantas outras (mais de 200) que o administrador da Autora recebeu desde 2008, com vista à criação de beneficiários confiáveis.
12.ª- A afirmação do administrador da Autora de que a mensagem, que continha os dizeres “Transferência Nacional” e um IBAN ou NIB, não lhe teria despertado a atenção por não ser uma “ordem de transferência” e ter-lhe parecido “que faria parte da tal actualização de segurança”, é salvo o devido respeito, caricata.
13.ª- A “defesa” do administrador da Autora, de que teria desligado o computador da rede logo que este bloqueou, após a inserção do código, não corresponde à verdade, quer porque o equipamento bloqueara logo que apareceu o pop-up, após o início da sua sessão de homebanking, e antes do recebimento do SMS, impedindo-o de, na conta bancária da Autora, fazer as operações que se propunha, quer porque entre a inserção do código e a realização das transferências decorreram largos minutos.
14.ª- Aliás, o facto provado n.º 15, em que a Apelante pretende sustentar-se, para dar a ideia de que aquele administrador estava “atento ao procedimento em tanto quanto não era suscetível de levantar quaisquer dúvidas”, para além de não ser verdadeiro, não foi sequer alegado na petição inicial.
15.ª- O que a Autora deveria ter aí alegado era que, “Após a leitura completa do teor da mensagem que continha o código que vários minutos antes havia inserido, o dito administrador desligou de imediato o computador da corrente, quebrando o acesso à rede”, o que ocorreu necessariamente num momento em que as transferências já tinham sido ordenadas e efectuadas.
16.ª- Note-se ainda que ninguém vai a correr desligar “à bruta” um computador da tomada apenas porque este bloqueou; quando muito se essa situação se mantiver desliga-se o computador no botão do power e, apenas se tal não resultar, se recorre ao procedimento de desligar a ficha da tomada.
17.ª- Dos elementos que resultam dos autos, apenas se pode concluir que o administrador da Autora, apenas quando atentou (tarde de mais, diga-se) no teor da mensagem, é que se apercebeu que alguém lhe tinha “entrado” no computador, como relatou a sua filha, no depoimento que prestou.
18.ª- A Apelante refere-se, em seguida, ao ónus da prova do prestador de serviço previsto no artigo 113.º, n.º 1, do Decreto-Lei 91/2018 de 12/11, mas o certo é que essa prova foi feita, assim como a do incumprimento, da sua parte, da obrigação prevista no artigo 110.º, n.º 1, alínea a), e 2, do mesmo Diploma.
19.ª- No caso sub judice, resultou assente que o administrador da Autora, utilizando o computador desta, no qual fora instalado o certificado digital fornecido pelo Banco (indispensável à movimentação das contas via homebanking), entrou na página oficial do Banco 1... — e não numa página “clonada” — inseriu ele próprio as credenciais personalizadas — que ainda não teriam sido furtadas — e autorizou a operação de criação de um beneficiário confiável para transferências, após ter tido conhecimento do respectivo IBAN, que lhe foi enviado pelo Réu através de um SMS, como era usual.
20.ª- Segundo as sucessivas versões da Apelante: o seu computador não tinha malware, fora o sistema informático do Banco que fora atacado e utilizado para enviar, por SMS, um código de autorização à Autora; ou, afinal, o seu computador tinha malware mas era normal que o seu administrador não tivesse estranhado tudo aquilo que se passou; ou tinha malware mas terá provindo do sistema do banco (sem esclarecer de que modo tal poderia ter sucedido); ou não tinha malware porque o administrador reiniciou a sessão de login no computador e nada então aconteceu (quando bem sabe que já nada havia de interesse para o atacante numa conta que ficou com um saldo de apenas cento e tal euros).
21.ª- A douta sentença recorrida não violou quaisquer disposições legais, pelo que deve manter-se a improcedência da acção.
22.ª- No entanto, para o caso de procederem as questões suscitada pela Apelante, o Apelado impugna, a título subsidiário, e ao abrigo do disposto no artigo 636.º, n.º 2, do Código de Processo Civil, a decisão sobre a matéria de facto quanto aos pontos 2, 4, 5, 6, 8, 11, 14, 15, 17, 18, 27 e 28, dos factos provados, devendo ainda ser aditados à matéria assente outros factos, essenciais ou relevantes para a decisão da causa, com fundamento nos documentos juntos aos autos e nas declarações e depoimentos prestado pelo administrador da Autora e por todas as testemunhas, e nos seguintes termos:
— os pontos 2, 4, 5, 6, 8, 11, 14, 15, 17, 18, 27 e 28 devem passar a ter a seguinte redacção:
2 -Para acesso e movimentação de ambas as contas, a Autora dispunha do serviço de “homebanking”, ao qual podia aceder através do único computador onde tinha sido instalado o certificado digital fornecido pelo Réu, sendo que nunca antes se havia registado qualquer incidente, no acesso e movimentação online dessas contas bancárias da Autora.
4 -Para criar cada um desses beneficiários, é necessária que o utilizador tenha efectuado o login (acesso) ao homebanking através do computador onde foi instalado o certificado digital e a inserção de um código de autorização enviado pelo banco R. através de “SMS”.
5 -Depois de criado tal beneficiário, apenas é necessária, para transferir fundos para este, a inserção da “password” do utilizador no computador certificado onde haja sido feito o login.
6 - A A, e o seu administrador BB tinham conhecimento desse processualismo, tendo, ao longo dos anos, desde 2008, criado uma lista de beneficiários nos moldes acima expostos, em número superior a 270, a maioria dos quais “confiável”.
8 -Quando já se encontrava visível a página de utilizador e o referido administrador da Autora se preparava para iniciar as operações que tinha em vista, abriu-se automaticamente uma janela intitulada “Banco 1... - Atualização do módulo de Segurança”, que bloqueou o computador, apresentando-se uma barra que ia sendo preenchida na aparente execução de um programa intitulado “....
11- Na janela que se havia aberto, aquando do login, sobrepôs-se uma pequena janela dando nota de que iria ser enviado por “SMS” um código para confirmar a continuação daquele processo.
14 - Ao inserir esse código remetido através daquela mensagem, o Administrador da A. criou, sem disso se aperceber e de forma involuntária, um “beneficiário” de transferências de fundos, que foi adicionado à lista de beneficiários já existentes, às 12:02:19h do dia 19.08.2020.
15 - Após a inserção desse código, o administrador veio a desligar o computador da corrente, quebrando o acesso à rede.
17 - As referidas quantias foram transferidas para a conta do “beneficiário” involuntariamente criado pelo administrador da A. e foram determinadas pela aludida pessoa não concretamente identificada através da utilização da sessão de login iniciada no computador da Autora com todas as credenciais exigidas e da “password” desta, que logrou obter através do aludido “malware”.
18 - Logo após ter tido conhecimento das transferências, cerca das 12:20 horas, o administrador da Autora contactou telefonicamente o Banco, na pessoa da respectiva colaboradora CC, dando nota do sucedido, a qual confirmou a execução das referidas transferências, bloqueando então o acesso “online” às contas, e informando que iria apurar a situação.
27 - A R. vem alertando os seus clientes, através de informação inserida na sua página informática de acesso ao “homebanking”, da possibilidade de instalação de “malware”, através do acesso a links e ficheiros constantes de mensagens electrónicas, recomendando que não seja acedido o “link” ou executado o ficheiro.
28 - Nesses avisos, a R. mostra exemplos ilustrados de situações que podem ocorrer, após ter sido instalado o malware, designadamente, o surgimento de uma barra que vai sendo preenchida, aparentado estar a ser feita uma “instalação/actualização” e a solicitação de inserção de código a ser remetido via “SMS”, recomendando que seja lido atentamente o conteúdo das “SMS” remetidas, as quais poderão configurar uma tentativa de confirmação de transacção não solicitada pelo cliente.
— devem ser aditados à matéria assente os seguintes factos:
8-A - Cerca das 12 horas do dia 19.08.2020, o Banco recebeu do computador da Autora, na sessão aberta pelo seu administrador de acesso às contas bancárias daquela, um pedido de criação de um beneficiário de transferências.
8-B - O Réu, recebido esse pedido, e como sempre ocorreu nessas situações, emitiu, às 12:01:20h, um Código de Autorização, o qual foi enviado por SMS para o número de telemóvel do administrador da Autora, para que este utilizador registado confirmasse essa operação.
10-A - As transferência não ocorreram por alguém ter acedido ilegitimamente ao sistema informático do Banco Réu nem foram devidas a qualquer avaria técnica ou deficiência do serviço prestado pelo Réu.
16 -A - Tais transferências foram autenticadas, devidamente registadas e contabilizadas.
16-B - Após a realização das três transferências, o saldo da conta a que corresponde o IBAN ..., ficou com um saldo de cerca de 100 euros.
29 - As situações referidas nos factos provados n.ºs 8, 11 e 12 constavam dos Avisos feitos pelo Réu na sua página informática de acesso ao “homebanking”.
30 - E, concretamente, quanto à mensagem de SMS, eram feitas as seguintes recomendações:
“Leia atentamente o conteúdo do SMS, pois ao identificar o Código de Autorização poderá estar a confirmar uma transação na sua conta ou a instalação da App Banco 1... num telemóvel.”
“Leia atentamente o conteúdo dos SMS recebidos com Códigos de Autorização que, para além do código, contém os dados da operação. Caso tenha recebido um SMS sem ter efetuado uma operação, contacte-nos de imediato.”
23.ª- Também para o caso de proceder a questão suscitada pela Apelante, quanto a uma alegada contradição na fundamentação de direito da sentença recorrida, o Apelado requer, a título subsidiário, e ao abrigo do disposto no artigo 636.º, n.º 1, do Código de Processo Civil, a apreciação dos demais fundamentos de defesa que deduziu na sua Contestação, que respeitam a momentos anteriores ao da inserção do código de autorização pelo Utilizador, e que não relevam, antes agravam, a negligência deste Utilizador, por demonstrarem uma sua postura de total imprudência e indiferença quanto aos riscos a que qualquer pessoa está sujeita quando navega na internet e, sobretudo, quando acede à sua página de homebanking.
24.ª- Tais fundamentos, assinalados na resposta à matéria de direito do presente recurso e no capítulo subsequente, dizem respeito ao alheamento demonstrado pelo Utilizador quanto aos perigos de instalação de malware, ao desinteresse revelado relativamente aos alertas de segurança que são repetidamente feitos por diversas entidades e pela comunidade e encontram-se na página de homebanking do Réu (mas que o administrador nunca viu);
25.ª- Outrossim, ao facto de não ter estranhado a situação que ocorreu no dia 19.08.2020, quando iniciou a sua sessão de login, não obstante nunca tal ter sucedido, e que era de molde a criar a qualquer pessoa e em especial ao administrador da Autora as maiores dúvidas sobre a regularidade do que se estava a passar, não ter contactado o Banco atempadamente, fosse no início do processo, quando o seu computador bloqueou, fosse ao receber do Banco uma SMS de confirmação, quando não tinha efectuado nenhuma operação (o que, por conseguinte, não poderia credibilizar a operação, como se refere na sentença), fosse mesmo após ter inserido indevidamente o código.
26.ª- Em suma, o juízo sobre a grosseira negligência da Autora não deve “situar-se” apenas no acto da digitação do código mas abarcar também a passividade, a indiferença, a inconsciência ou mesmo, salvo o devido respeito, a leviandade, com que o seu administrador, que declarou ter “bastante experiência” e não ser um infoexcluído, encarou o episódio, todo ele, que ocorreu no dia 19.08.2020 e que foi causa direta e exclusiva da movimentação da conta bancária daquela.
Nestes termos e nos mais de direito,
A) Deve ser julgado improcedente o recurso interposto, mantendo-se a douta sentença recorrida;
Se assim se não entender, deve:
B) A decisão sobre a matéria de facto ser alterada nos termos acima indicados; e
C) Serem apreciados os fundamentos de defesa, em que o Apelado decaiu.”.Após os vistos legais, cumpre decidir.II - DO MÉRITO DO RECURSO
1. Objeto do recurso
O objeto do recurso é delimitado pelas conclusões da alegação do recorrente, não podendo este tribunal conhecer de matérias nelas não incluídas, a não ser que as mesmas sejam de conhecimento oficioso – cfr. arts. 635º, nº 4, 637º, nº 2, 1ª parte e 639º, nºs 1 e 2, todos do Código de Processo Civil.
Atendendo às conclusões das alegações apresentadas pela apelante, são as seguintes as questões a apreciar:
- Se ocorre erro de julgamento, por errada apreciação das provas, e consequente alteração da decisão da matéria de facto;
- Decidir se em conformidade, face à alteração, ou não, da matéria de facto e subsunção dos factos ao direito, deve ser alterada a análise jurídica.
- Caso o recurso da autora seja procedente, apreciar a ampliação do âmbito do recurso.2. Sentença recorrida
2.1. O Tribunal de 1ª Instância considerou provada a seguinte matéria de facto:
1 - A sociedade Autora é titular, no “Banco 1..., SA”, das contas bancárias a que correspondem os IBANs ... e ....
2 - Para acesso e movimentação de ambas as contas, a Autora dispunha do serviço de “homebanking”.
3 – O serviço de “homebanking” da R. permite aos seus clientes realizar transferências de fundos para beneficiários pré-definidos “confiáveis”, criados pelo utilizador, sem necessidade de inserir previamente o respectivo “IBAN”.
4 – Para criar cada um desses beneficiários, é necessária a inserção de um código de autorização enviado pelo banco R. através de “SMS”.
5 – Depois de criado tal beneficiário, apenas é necessária, para transferir fundos para este, a inserção da “password” do utilizador.
6 – A A, e o seu administrador BB tinham conhecimento desse processualismo, tendo, ao longo dos anos, criado uma lista de beneficiários nos moldes acima expostos.
7 - Cerca das 12 horas do dia 19 de Agosto de 2020, o referido administrador da Autora, BB, iniciou, no “desktop” da sua mesa de trabalho, os procedimentos necessários ao acesso aquelas contas através de referido sistema, inserindo na página internet do “Banco 1...”, após clicar no separador “Empresas”, o respectivo código de utilizador, a “password” e os algarismos pedidos do seu NIF, e accionando o certificado digital exigido para aquele acesso, instalado naquele seu “desktop”.
8 - Quando já se encontrava visível a página de utilizador e o referido administrador da Autora se preparava para iniciar as operações que tinha em vista, abriu-se automaticamente uma janela intitulada “Banco 1... - Atualização do módulo de Segurança”, iniciando-se automaticamente a execução de um programa intitulado “...”, apresentando diversos passos que passaram também a processar-se automaticamente.
9 – A abertura da referida janela resultou da prévia instalação, determinada por terceiros cuja identidade não se apurou, e por forma igualmente não apurada, de um programa informático malicioso, vulgo, “malware”, no computador da A., sem que esta ou seu administrador disso tivesse tido conhecimento.
10 – Tal “malware” permitiu que esse terceiro tivesse acesso ao computador da A. e à informação que aí foi inserida, designadamente, ao código de utilizador e à “password” de acesso ao serviço de “homebanking”.
11 - Quando se mostravam assinalados como executados alguns desses passos decorrentes da abertura daquela “janela”, sobrepôs-se uma pequena janela dando nota de que iria ser enviado por “SMS” um código para confirmar a continuação daquele processo.
12 – E, acto contínuo, apresentou-se no telemóvel do administrador da Autora, sequencialmente às mensagens provenientes do “Banco 1...” que são enviadas para confirmação de operações a que procede nas contas, o anunciado código, que o administrador da Autora inseriu no campo apresentado pela referida janela.
13 – Essa mensagem tinha o seguinte teor: “Banco 1... Emp – Criação de beneficiário – Tipo: Transferência Nacional IBAN ... – Código Autorização: *****...”
14 – Ao inserir esse código remetido através daquela mensagem, o Administrador da A. criou, sem disso se aperceber e de forma involuntária, um “beneficiário” de transferências de fundos, que foi adicionado à lista de beneficiários já existentes.
15 - Após a inserção desse código, o computador bloqueou, tendo o dito administrador o desligado de imediato da corrente, quebrando o acesso à rede.
16 - Após o reinício do computador, o administrador da Autora procedeu de novo às operações exigíveis para acesso às referidas contas via “homebanking” e descritas supra, tendo então constatado, ao consultar os movimentos da conta a que corresponde o IBAN ..., que ali constavam três lançamentos, sem indicação de hora, datados daquele dia 19 de agosto, classificados como “TRF p/ unipessoal” de € 9.876,00, € 9.987,00 e € 6.500,00, cada.
17 – As referidas quantias foram transferidas para a conta do “beneficiário” involuntariamente criado pelo administrador da A. e foram determinadas pela aludida pessoa não concretamente identificada através da utilização do código de utilizador e da “password” da A. que logrou obter através do aludido “malware”.
18 - Acto imediato, cerca das 12:20 horas, o administrador da Autora contactou telefonicamente o Banco, na pessoa da respectiva colaboradora CC, dando nota do sucedido, a qual confirmou a execução das referidas transferências, bloqueando então o acesso “online” às contas, e informando que iria apurar a situação.
19 - Cerca das 15:00 horas do referido dia, aquela colaboradora contactou telefonicamente o administrador da Autora, dando-lhe nota de que as transferências tinham sido executadas para uma conta no “Banco 2...” (Banco 2...) e que as quantias já não se encontravam neste Banco.
20 – A A. apresentou na Polícia Judiciária requerimento, datado de 24-8-2020, junto como doc. 4 à petição, relatando o sucedido.
21 – Após o sucedido, o Réu bloqueou a possibilidade de a Autora aceder a ambas as referidas contas via “Homebanking”, e bloqueou, ainda, a possibilidade de a Autora, mesmo em caixa “ATM”, ordenar transferências nessas duas contas usando o pertinente cartão.
22 – Por “e-mail” de 31 de Agosto de 2020, junto como doc. nº 5 à petição, a A. solicitou à R. que informasse se o assunto sofrera alguma evolução relevante e que esclarecesse como seria possível proceder em caixa “multibanco” a transferências relativas ao cartão da conta ....
23 – Por força do aludido bloqueio das duas contas, a A. viu-se impedida de proceder a quaisquer movimentos nas mesmas, à excepção de consultas em caixas “multibanco”, levantamentos em numerário dentro do limite de 400 € diários e pagamentos ao Estado e de serviços.
24 – Por força desse bloqueio das duas contas bancárias, a A. teve que realizar transferências bancárias através de outras contas tituladas pelos seus sócios e/ou familiares.
25 – Pelo mesmo motivo, os pagamentos recebidos pela A. tiveram que, durante algumas semanas, ser feitos para as aludidas contas de terceiros.
26 – A referida situação só cessou quando a A. procedeu à abertura de nova conta bancária noutra instituição financeira.
27 – A R. vem alertando os seus clientes, através de informação inserida na sua página informática de acesso ao “homebanking”, da possibilidade de instalação de “malware”, mostrando exemplos ilustrados de situações que podem ocorrer, designadamente, o surgimento de uma barra que vai sendo preenchida, aparentado estar a ser feita uma “instalação/actualização” e a solicitação de inserção de código a ser remetido via “SMS”.
28 – A R. recomenda, nesses avisos, que não seja acedido o “link” solicitado, bem como que seja lido atentamente o conteúdo das “SMS” remetidas, as quais poderão configurar uma tentativa de confirmação de transacção não solicitada pelo cliente.

2.2. E deu como não provados os factos seguintes:
1 – A A. e o seu administrador BB vêm utilizando o serviço de “homebanking” da R. há mais de 15 anos.
2 – Os acontecimentos acima descritos que conduziram à realização das referidas transferências ocorreu em virtude de alguém ter acedido ilegitimamente ao sistema informático do Banco Réu, não tendo este assegurado a operacionalidade e regularidade desse seu sistema informático.
3 – A A. tinha instalado no computador em causa um programa antivírus de marca “...”, o qual se encontrava actualizado.
4 - A A. não tinha instalado no computador em causa um programa antivírus. *
3. Da impugnação da matéria de facto/erro de julgamento
Nas conclusões de recurso veio a apelante requerer a reapreciação da decisão de facto, em relação ao ponto 3 dos factos não provados, com fundamento em erro na apreciação da prova.
O art. 640º do CPC estabelece os ónus a cargo do recorrente que impugna a decisão da matéria de facto, nos seguintes termos:
“1. Quando seja impugnada a decisão sobre a matéria de facto, deve o recorrente obrigatoriamente especificar, sob pena de rejeição:
a) Os concretos pontos de facto que considera incorretamente julgados;
b) Os concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos da matéria de facto impugnados diversa da recorrida;
c) A decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas.
2. No caso previsto na alínea b) do número anterior, observa-se o seguinte:
a) Quando os meios probatórios invocados como fundamento do erro na apreciação das provas tenham sido gravados, incumbe ao recorrente, sob pena de imediata rejeição do recurso na respetiva parte, indicar com exatidão as passagens da gravação em que funda o seu recurso, sem prejuízo de poder proceder à transcrição dos excertos que considere relevantes;
b) Independentemente dos poderes de investigação oficiosa do tribunal, incumbe ao recorrido designar os meios de prova que infirmem as conclusões do recorrente e, se os depoimentos tiverem sido gravados, indicar com exatidão as passagens da gravação em que se funda e proceder, querendo, à transcrição dos excertos que considere importantes.
3. […]”
O mencionado regime veio concretizar a forma como se processa a impugnação da decisão de facto, reforçando o ónus de alegação imposto ao recorrente, o qual terá que apresentar a solução alternativa que, em seu entender, deve ser proferida pela Relação em sede de reapreciação dos meios de prova.
Recai, assim, sobre o recorrente, o ónus, sob pena de rejeição do recurso, de determinar os concretos pontos da decisão que pretende questionar, ou seja, delimitar o objeto do recurso, motivar o seu recurso através da transcrição das passagens da gravação que reproduzem os meios de prova, ou a indicação das passagens da gravação que, no seu entendimento, impunham decisão diversa sobre a matéria de facto, a fundamentação, e ainda, indicar a solução alternativa que, em seu entender, deve ser proferida pelo Tribunal da Relação.
No caso concreto, o julgamento foi realizado com gravação dos depoimentos prestados em audiência, sendo que a apelante impugna a decisão da matéria de facto com indicação do ponto de facto alvo de impugnação, indica as provas a reapreciar, bem como a decisão que sugere, mostrando-se, assim, reunidos os pressupostos de ordem formal para proceder à reapreciação da decisão.
Tal como dispõe o nº 1 do art. 662º do CPC, a Relação deve alterar a decisão proferida sobre a matéria de facto “(…) se os factos tidos como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa”.
No presente processo, como referido, a audiência final processou-se com gravação da prova produzida.
Segundo ABRANTES GERALDES, in Recursos no Novo Código de Processo Civil, pág. 225, e a respeito da gravação da prova e sua reapreciação, haverá que ter em consideração que funcionando o Tribunal da Relação como órgão jurisdicional com competência própria em matéria de facto, nessa reapreciação tem autonomia decisória, devendo consequentemente fazer uma apreciação crítica das provas, formulando, nesse julgamento, com inteira autonomia, uma nova convicção, com renovação do princípio da livre apreciação da prova.
Assim, compete ao Tribunal da Relação reapreciar as provas em que assentou a parte impugnada da decisão, face ao teor das alegações do recorrente e do recorrido, sem prejuízo de oficiosamente atender a quaisquer outros elementos probatórios que hajam servido de fundamento à decisão sobre os pontos da matéria de facto impugnados.
Cabe, ainda, referir que neste âmbito da reapreciação da prova vigora o princípio da livre apreciação, conforme decorre do disposto no art. 396º do Código Civil.
E é por isso que o art. 607º, nº 4 do CPC impõe ao julgador o dever de fundamentação da factualidade provada e não provada, especificando os fundamentos que levaram à convicção quanto a toda a matéria de facto, fundamentação essencial para o Tribunal de Recurso, nos casos em que há recurso sobre a decisão da matéria de facto, com vista a verificar se ocorreu, ou não, erro de apreciação da prova.

Posto isto, cabe analisar se assiste razão à recorrente, na parte da impugnação da matéria de facto.
A apelante entende que foi incorretamente dado como não provados o facto 3, o qual deveria ter sido dado como provado, face ao depoimento da testemunha AA e às declarações de parte do administrador da autora/recorrente.
Tal facto tem o seguinte teor: A Autora tinha instalado no computador em causa um programa antivírus de marca “...”, o qual se encontrava atualizado.
O Tribunal a quo fundamentou a resposta negativa a este facto, nos seguintes termos:
“Neste ponto, o legal representante da A. e a testemunha AA afirmaram que a A. tinha instalado em todos os computadores do escritório um programa antivírus. Também deram conta, que após se ter constatado a ocorrência das transferências, fizeram correr esse antivírus no computador, não tendo sido detectado qualquer “software” malicioso.
Porém, não foi junta aos autos qualquer prova documental demonstrativa destas afirmações: designadamente, o comprovativo de aquisição (ou da renovação da assinatura) desse programa antivírus, nem o relatório obtido após a análise efectuada pelo antivírus logo após o sucedido.
Assim, tais declarações, por si só, não são aptas a ter como demonstrada a instalação desse antivírus, nem têm potencialidade para tornar duvidosa a contaminação do computador da A. pelo referido “malware”.
Igualmente, também não foi produzida qualquer prova no sentido da inexistência desse programa antivírus: designadamente, não é de afastar a hipótese de a A. o ter efectivamente instalado no computador e de o mesmo não ter detectado (por exemplo, por se encontrar desactualizado) o “malware” que permitiu o acesso do terceiro aos códigos e à password.
Do exposto resultou a não demonstração dos “factos não provados” nºs. 3 e 4 (tendo-se optado por responder facticamente às duas versões – da existência e da inexistência do programa antivírus -, por ser duvidoso a quem incumbe o ónus da prova dessa matéria).”.
Ouvida a prova gravada, não podemos, ainda assim, deixar de concordar com a decisão do Tribunal a quo, bem fundamentada.
O facto em causa exigia uma prova sem qualquer dúvida, com base em prova documental, prova documental que não seria difícil de obter e juntar, sendo certo que entendemos que o ónus da prova de tal facto cabia à autora/recorrente.
Seja como for, a prova de que a autora teria, ou não, instalado no computador em causa um programa antivírus atualizado, não tem qualquer influência na decisão, desde logo, porque não é a existência de um antivírus que impede que venha a ocorrer um ataque informático num computador, como, aliás, se tem verificado pelas ocorrências de ataques a diversas instituições, certamente protegidas por antivírus, como a autora poderia também estar.
Tratando-se de um facto sem influência na decisão, e porque a lei – art. 130.º do CPC – proíbe a prática de atos inúteis, mantem-se, por ambos os motivos referidos, a matéria de facto tal como foi decidida pelo tribunal recorrido, improcedendo, assim, a respetiva impugnação.4. Motivação de Direito
Como a recorrente diz expressamente nas suas alegações de recurso, concorda com a explanação técnico jurídica expendida pelo Mmº Juiz a quo na sentença recorrida exceto na aplicação que a mesma faz aos factos dos autos do disposto no art. 113.º, nº 3 do Decreto-Lei 91/2018 de 12/11.
Este Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME) regula o acesso à atividade das instituições de pagamento e a prestação de serviços de pagamento, bem como o acesso à atividade das instituições de moeda eletrónica e a prestação de serviços de emissão de moeda eletrónica (art. 1.º, n.º 1) e, nos termos do disposto no art. 3.º, n.º 1, é aplicável à atividade das instituições de pagamento com sede em Portugal e das respetivas sucursais, agentes e terceiros aos quais sejam subcontratadas funções operacionais, bem como à prestação de serviços de pagamento em Portugal pelas entidades legalmente habilitadas, nos termos previstos no n.º 3 do referido art. 3.º.
Resulta dos factos provados que a autora aderiu ao serviço de homebanking do banco réu, que permite que a mesma aceda via internet à sua conta bancária, podendo consultá-la e efetuar várias operações bancárias, pelo que estamos perante um serviço de pagamento prestado pelo banco réu, com utilização de um instrumento de pagamento, em que o banco réu é o prestador de serviços de pagamento e a autora a utilizadora desses serviços de pagamento (art. 2.º do referido diploma legal).
Tendo em conta o objeto do recurso, importa para a decisão ter em conta os seguintes preceitos do Dec. Lei nº 91/2028, de 12-11:
Artigo 110.º
Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.

Artigo 111.º
Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O prestador de serviços de pagamento que emite um instrumento de pagamento deve:
a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior;
b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à comunicação prevista na alínea b) do n.º 1 do artigo 110.º ou solicitar o desbloqueio nos termos do n.º 4 do artigo 108.º;
d) Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a comunicação prevista na alínea b) do n.º 1 do artigo 110.º, de que efetuou essa comunicação ou solicitou o desbloqueio nos termos do n.º 4 do artigo 108.º;
e) Impedir qualquer utilização do instrumento de pagamento logo que a comunicação prevista na alínea b) do n.º 1 do artigo 110.º tenha sido efetuada.
2 - O prestador de serviços de pagamento assegura que a comunicação a que se refere a alínea c) do n.º 1 é efetuada a título gratuito, cobrando apenas, e se for caso disso, os custos diretamente imputáveis à substituição do instrumento de pagamento.
3 - O risco do envio ao utilizador de serviços de pagamento de um instrumento de pagamento ou das respetivas credenciais de segurança personalizadas corre por conta do prestador do serviço de pagamento.

Artigo 113.º
Prova de autenticação e execução da operação de pagamento
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.

Artigo 114.º
Responsabilidade do prestador de serviços de pagamento em caso de operação de pagamento não autorizada
1 - Sem prejuízo do disposto no artigo 112.º, o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.
2 - O prestador de serviços de pagamento do ordenante não está obrigado ao reembolso no prazo previsto no número anterior se tiver motivos razoáveis para suspeitar de atuação fraudulenta do ordenante e comunicar por escrito esses motivos, no prazo indicado no número anterior, às autoridades judiciárias nos termos da lei penal e de processo penal.
3 - Sempre que haja lugar ao reembolso do ordenante, o prestador de serviços de pagamento do ordenante deve assegurar que a data-valor do crédito na conta de pagamento do ordenante não é posterior à data em que o montante foi debitado na conta.
4 - No caso previsto no número anterior, o prestador de serviços de pagamento do ordenante, se for caso disso, repõe a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.
5 - Caso a operação de pagamento seja iniciada através de um prestador do serviço de iniciação do pagamento, o prestador de serviços de pagamento que gere a conta deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.
6 - O prestador de serviços de pagamento que gere a conta não está obrigado ao reembolso no prazo previsto no número anterior se o prestador do serviço de iniciação do pagamento lhe der conhecimento de que tem motivos razoáveis para suspeitar de atuação fraudulenta do ordenante e de que comunicou por escrito esses motivos às autoridades judiciárias nos termos da lei penal e de processo penal.
7 - Sempre que haja lugar ao reembolso ao ordenante, o prestador de serviços de pagamento que gere a conta deve, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.
8 - Se o prestador do serviço de iniciação de pagamento for responsável pela operação de pagamento não autorizada, deve indemnizar imediatamente o prestador de serviços de pagamento que gere a conta, a pedido deste, pelos danos sofridos ou pelos montantes pagos em resultado do reembolso ao ordenante, incluindo o montante da operação de pagamento não autorizada.
9 - Nos casos a que é aplicável o disposto no n.º 2 do artigo 113.º, recai sobre o prestador de serviços de iniciação do pagamento o ónus de provar que, no âmbito da sua esfera de competência, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
10 - Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.

Artigo 115.º
Responsabilidade do ordenante em caso de operação de pagamento não autorizada
1 - Em derrogação do disposto no artigo 114.º, o ordenante pode ser obrigado a suportar as perdas relativas às operações de pagamento não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou da apropriação abusiva de um instrumento de pagamento dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 50.
2 - O disposto no n.º 1 do presente artigo não se aplica caso:
a) A perda, o furto, o roubo ou a apropriação abusiva de um instrumento de pagamento não pudesse ser detetada pelo ordenante antes da realização de um pagamento; ou
b) A perda tiver sido causada por atos ou omissões de um trabalhador, de um agente ou de uma sucursal do prestador de serviços de pagamento, ou de uma entidade à qual as suas atividades tenham sido subcontratadas.
3 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, caso em que não são aplicáveis os limites referidos no n.º 1.
4 - Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
5 - Se o prestador de serviços de pagamento do ordenante não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente.
6 - Caso o beneficiário ou o seu prestador de serviços de pagamento não aceite a autenticação forte do cliente, reembolsa os prejuízos financeiros causados ao prestador de serviços de pagamento do ordenante.
7 - Após ter procedido à comunicação a que se refere a alínea b) do n.º 1 do artigo 110.º, o ordenante não deve suportar quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou abusivamente apropriado, salvo em caso de atuação fraudulenta.
8 - Se o prestador de serviços de pagamento não fornecer meios apropriados que permitam a comunicação, a qualquer momento, da perda, furto, roubo ou da apropriação abusiva de um instrumento de pagamento, conforme requerido pela alínea c) do n.º 1 do artigo 111.º, o ordenante não fica obrigado a suportar as consequências financeiras resultantes da utilização desse instrumento de pagamento, salvo nos casos em que tenha agido de modo fraudulento.

Do teor destes preceitos resulta que caso o utilizador do serviço de “homebanking” negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade se fizer a prova de que a operação foi, sem afetação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; e de que a mesma operação se ficou a dever a fraude do utilizador ou a incumprimento doloso ou gravemente negligente, por parte deste, das obrigações, previstas no art. 110.º, ou seja, de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, tomando todas as medidas razoáveis para preservar a eficácia dos seus dispositivos de segurança personalizados, e de comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.

No caso em apreciação, a Autora/recorrente alegou e demonstrou que as transferências dadas como provadas não foram por si ordenadas.
Face aos factos provados, resulta também que a transferência em causa não se ficou a dever a qualquer avaria técnica ou deficiência, mas antes que o acesso ilegítimo à conta da autora/recorrente, através do serviço de “homebanking”, teve origem num software malicioso instalado num computador da própria recorrente, não tendo, pelo contrário, ficado provado que tal operação tenha sido causada por inoperacionalidade do sistema informático da Ré.
Perante esta situação, e da leitura conjugada das disposições legais supra, transcritas, decorre, no que para o caso interessa, que a entidade bancária prestadora de serviços de pagamento, no caso de realização de operações de pagamento não autorizadas sobre a conta do cliente através da utilização de serviço de homebanking, com recurso a fraude informática e/ou burla, apenas vê afastada a sua responsabilidade pelos danos sofridos pelo utilizador de serviços de pagamento se alegar e provar que o dano em causa se deveu a atuação dolosa ou negligência grosseira do utilizador do serviço.
A decisão do presente recurso passa, assim, por concluir o que se entende por negligência grosseira e se o Administrador da autora agiu em termos que devem considerar-se grosseiramente negligentes.
Ora, entendemos, desde logo, que a negligência grosseira não se basta com a falta de cuidado que uma pessoa normalmente diligente teria naquela situação, dentro das circunstâncias do caso concreto, exigindo-se um nível de falta de cuidado mais elevado, um descuido ou desmazelo inadmissível para qualquer pessoa colocada naquela situação (cfr., neste sentido, Ac. do Tribunal da Relação de Lisboa, de 24-01-2023, processo 16151/20.2T8LSB.L1-7).
O conceito de negligência grosseira, neste caso, deve apurar-se com referência à atuação de um utilizador do serviço de pagamento normalmente informado, diligente e cuidadoso, colocado nas mesmas circunstâncias, sendo que a negligência grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do grau de diligência minimamente exigível e da observância de deveres de cuidado evidentes e manifestos.
A negligência grosseira corresponderá ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes (Ana Prata, Cláusulas de Exclusão e Limitação da Responsabilidade Contratual, Reimpressão, pp. 306 a 308, citada no acórdão da Relação de Guimarães de 10/07/2019, disponível em www.dgsi.pt.).
No caso em apreciação, como se refere na sentença recorrida, “Decorre do “facto provado” nº 8 que a “janela” que se abriu quando o administrador da A. acedeu à área de “homebanking” intitulava-se “Banco 1... - Atualização do módulo de Segurança”.
Tal “janela” só foi aberta depois de o A. aceder à página de “homebanking” da R., em momento posterior à inserção dos respectivos códigos e “password” e ao accionamento do certificado digital.
Esta circunstância poderia inspirar segurança ao administrador A. quanto à regularidade do cenário com que se deparou.
Depois de abrir essa “janela”, iniciou-se automaticamente a execução de um programa intitulado “...”, apresentando diversos passos que passaram também a processar-se automaticamente.
A referida menção “...” corresponde a uma entidade fiável no campo da segurança informática; tal também terá reforçado a crença do legal representante na normalidade desse processo.
Além disso, em suporte da credibilidade da regularidade da operação, frise-se que o código de autorização que foi por aquele ulteriormente recebido por “SMS”, tal como anunciado pelo programa, foi enviado pela R. e provinha de um número telefónico por esta previamente usado para comunicar à A. outros códigos de autorização.
Até este momento, nenhum juízo de censura poderia ser assacado à conduta do legal representante da A.”.
Contudo, a mesma decisão considerou, de seguida, que “Porém, essa mensagem recebida pelo A. – descrita no “facto provado” nº 13 – continha menções aptas a levantar fortíssimas suspeitas quanto à (i)rregularidade da operação em curso.
Na verdade, constam dessa mensagem os seguintes dizeres: “Criação de beneficiário – Tipo: Transferência Nacional IBAN ... – Código de Autorização (…)”.
Decorre expressamente do teor dessa mensagem que o código ali mencionado destinar-se-ia à criação de um beneficiário de uma transferência bancária, a realizar para o NIB ali indicado.
Ora, o legal representante da A., quando acedeu à página de “homebanking” da R., não pretendia criar nenhum beneficiário “confiável”, nem efectuar qualquer transferência.
Assim sendo, não obstante as circunstâncias acima referidas poderem ter aligeirado o grau de diligência e de atenção do legal representante da A. (e sendo igualmente certo que não se provou a regularidade do surgimento das mensagens de aviso emitidas pela R., nem que as mesmas eram apresentadas sempre que se acedida ao serviço de “homebanking”), a verdade é que o teor expresso daquela mensagem era - exuberantemente - apto a suscitar fortíssimas suspeitas sobre a regularidade do processo em curso.
Assim, entendemos que ao inserir esse código constante da “SMS” no computador, o legal representante da A. agiu com acentuada desatenção e incúria.
Note-se, inclusivamente, que ficou provado – cfr. “facto provado nº 6 – que o legal representante da A. tinha conhecimento dos passos de criação de um beneficiário “confiável”.
Dito de outra forma: só actuando de forma gravemente negligente é que o administrador da A. não se apercebeu das consequências que decorreriam da inserção do código recebido naquela SMS – designadamente, a transferência de dinheiro para um beneficiário assim criado.
Se não tivesse agido imbuído dessa negligência grave, o legal representante da A. não podia ter deixado de alcançar as consequências que adviriam da inserção daquele código na página informática.
Face ao acima exposto, o grau de negligência associado a tal conduta não se pode considerar leve: não obstante as circunstâncias atenuantes acima referidas, o teor expresso da “SMS” recebida nunca poderia deixar de suscitar forte alarme a um utilizador medianamente diligente que a tivesse lido.
Nesta perspectiva, a subsequente inserção do código plasmado nessa “SMS” só pode ter ficado a dever-se a um descuido grave.
Assim sendo, conclui-se que as transferências mencionadas nos “factos provados” nº 16 e 17, levadas a cabo, de forma fraudulenta, pelo terceiro não identificado, ficaram a dever-se ao facto de o legal representante da A., nos termos dos arts. 113º, nº 3, e 110º, nºs. 1, al. a), e 2, do DL 91/2018, não ter tomado, de forma grosseiramente negligente, “todas as medidas razoáveis (…) para preservar a segurança das suas credenciais de segurança personalizadas.”.
Em suma: nos termos do mencionado art. 113º, nº 3, as operações referidas nos “factos provados” nºs 16 e 17 ficaram a dever-se a incumprimento grosseiramente negligente, por parte do legal representante da A., das obrigações previstas no art. 110º.”.
Não podemos deixar de concordar com esta decisão, sob pena de o fornecedor do serviço ser sempre responsabilizado, ainda que a situação pudesse ter sido evitada, caso o utilizador do serviço tivesse usado da diligência que se lhe impunha.
Sendo o legal representante da autora, uma pessoa habituada a usar o serviço de “homebanking”, e conhecedor dos riscos do uso desse meio, não podia ter atuado como atuou, sem proceder à leitura da mensagem que continha o ato que confirmou através da inserção do código que recebeu por SMS, atuando, desse modo, com negligência que deve considerar-se grosseira.
E assim sendo, conclui-se que o Réu/recorrido logrou ilidir a presunção de culpa que sobre si recaía por força dos preceitos citados supra.
Consequentemente, concluindo-se que a situação ocorrida ficou a dever-se à atuação gravemente negligente do administrador da Autora/recorrente, o Réu/recorrido não poderá ser responsabilizado pelos danos decorrentes da movimentação fraudulenta da conta bancária da Autora, como bem se decidiu na sentença impugnada.
Improcede, assim, o recurso, na totalidade.Considerando a improcedência do recurso, desnecessário de torna a apreciação da ampliação do recurso, formulada pelo réu/recorrido, para o caso de o recurso proceder. III- DISPOSITIVO
Pelos fundamentos acima expostos, acordam os Juízes deste Tribunal da Relação em julgar a apelação totalmente improcedente, mantendo, consequentemente, a sentença recorrida nos seus precisos termos.
Custas a cargo da Apelante.

Porto, 2024-12-05
Manuela Machado
Isabel Ferreira
Paulo Duarte Teixeira